Здравствуйте.
Ковыряю одну игрушку. Запустил под отладчиком, пытаюсь поставить бряк - жертва падает.
Использовал фантом, с галкой "use another breaks" также падает, правда теперь предлагает отправить отчёт об ошибке.
Что это может значит и как бороться? Где то читал, что подобное поведение бывает, если поток отключен от отладки (CreateThread/SetInformationThread), попробовал OllyAdvanced c соответствующей галкой, не помогло.
Что можно попробовать в этом случае?

| Сообщение посчитали полезным:

Фантик устарел. Юзайте это - ScyllaHide Anti-Anti-Debug plugin for Olly1&2 and TitanEngine.

Бряк в ольке представляет из себя изменение байтов по указанному адресу, на EBFE. Раз жертва падает, возможно мониторится этот участок кода на изменения.

| Сообщение посчитали полезным:

Вообще-то бряк это INT3 (CC).
Если мониторится память на изменения юзайте хардварные бряки.
Правда их использование тоже может палиться.

| Сообщение посчитали полезным: TryAga1n

just_simple

Если проверяется значение в памяти, то нужно трекнуть обращение к этой памяти, не обязательно HWB, олли такое может: break on [R/W/E].

> Где то читал, что подобное поведение бывает, если поток отключен от отладки

Тогда первым делом отладчик лагнет - перестанут в него доставляться события. У вас видимо другое, так как вы не описали его не нормальное поведение.

-----
vx

| Сообщение посчитали полезным:

TryAga1n
Забыл написать, сциллу я тоже пробовал. Но не помогло... hwbp тоже не заехали.

difexacaw
Значение в памяти не проверяется, краш происходит на бряке вообще везде, причём именно тогда, когда он должен сработать (ни раньше, ни позже).

| Сообщение посчитали полезным:

поток отсоединился от отладки игрушка не с защитой случаем навесной?

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

just_simple

Поставьте останов на ntdll.ZwRemoveProcessDebug и ZwSetInformationThread/<17>. Проще никак не сделать, придётся или кернел дебаггер взять или немного покодить монитор.

-----
vx

| Сообщение посчитали полезным:

Hellspawn защита навесная, если я правильно понял термин :D
difexacaw брякнулся один раз на ZwSetInformationThread (вызов из SetThreadPriority), врядли это то что надо..

| Сообщение посчитали полезным:

just_simple пишет:
Ковыряю одну игрушку.

что за игрушка?

| Сообщение посчитали полезным:

Жертва падает сама - TerminateProcess/Thread или рубит отладчик ? Если отладчик, то скорее всего фэйлит OutputDebugString, а вообще сцилла - говно.Я покрывал своего бота вмпротектом второй ревизии и один хер палилосьОна прокатывает только на некоторых вариантах защиты, на других фэйлит только в путь и в некоторых случаях портит память.

-----
TEST YOUR MIGHT

| Сообщение посчитали полезным:

очень похоже, что ковыряют L2 какую-нибудь с целью допилить бота xD тут такое не приветствуется.

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

unknownproject в жертве происходит исключение, где конкретно - хз.
Hellspawn именно она, если не приветствуется - то тему под снос.

| Сообщение посчитали полезным:

just_simple так брякнуться на ZwSetInformationThread не получится, т.к. защита копирует себе функцию в выделенную память и испольует потом. это если я правильно думаю о защите + vmprotect там.
думаю не по зубам будет, а эелание реверсить отпадет)

-----
[nice coder and reverser]

| Сообщение посчитали полезным: just_simple

Hellspawn кто бы меня полгода назад от этой затеи остановил
про копировании функции спасибо, не подумал об этом.

| Сообщение посчитали полезным:

just_simple сигнатурно либо руками, ловя чтение/запись кода из ntdll, с памяти либо с диска читает.

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Сервисы сходятся в одной точке, при вызове на шлюзе или при возврате. К примеру можно попробовать поставить останов на шлюз(должен быть не wow): KiFastSystemCall с условием в виде номера сервиса (Eax == Id). На возврат посложнее, учитывая что в олли глючат условные точки останова.

Добавлено спустя 2 часа 51 минуту
Hellspawn

> так брякнуться на ZwSetInformationThread не получится

Получится, вот вам семпл.

aede_19.11.2016_EXELAB.rU.tgz - ntrk.rar

-----
vx

| Сообщение посчитали полезным:

difexacaw так тоже не выйдет))) вы не смотрели таргет, так что теория тут не поможет)

-----
[nice coder and reverser]

| Сообщение посчитали полезным:

Hellspawn

Почему не выйдет ?

Смотрите возврат из сиссервиса происходит через не контролируемый механизм в юм, в случае sysenter это фикс поинт. В случае WOW это 64 битный слой эмулятора, в этом случае возврат происходит через переключение сегмента на адрес, который был загружен на стек. В случае Int2e возврат на следующую инструкцию и в таком случае мониторить не получится, но этот механизм никогда не используется и в случае WOW вообще не существует. Отследив возврат можно узнать какой сервис был вызван; хотя номер его утерян, но это можно сделать по коду - взять его из стаба, на который выполняется возврат; врядле они морфились. Сам же сервисный шлюз фиксирован - это или sysenter в ntdll или инструкция переключения сегмента, которая адресуется через TEB. Теоретически можно так мониторить, не видно препятствий.

Кстате а где сам семпл с защитой ?

Можно конечно взять старый кернел монитор сервисный, но это пушкой по воробьям

-----
vx

| Сообщение посчитали полезным:

difexacaw сэмпл с защитой весит ~8гб, могу конечно скинуть, если не пугает

| Сообщение посчитали полезным:

just_simple

В подобных случаях, когда по каким то причинам приложение/система не могут быть перенесены на другую машину юзается тим + варя.

-----
vx

| Сообщение посчитали полезным: